Grindr-sårbarhet tillot hackere å tilbakestille kontoenes passord og overta kontoer

En betydelig Grindr-sårbarhet ble oppdaget i september 2020. Sikkerhetsproblemet tillot dårlige skuespillere å overta en brukers Grind-konto hvis de bare kjente brukerens e-postadresse.

Det voksenorienterte sosiale nettverket hadde et veldig viktig problem med sikkerhet . En hacker trengte bare en brukerens e-postadresse for å knekke en konto. Mating av e-postmeldingen til "Finn din konto" -siden til tjenesten - tilsvarer skjemaet "Jeg har glemt passordet", hentet en bot-sjekk Captcha-skjema, og viste deretter en melding om at en e-postmelding om tilbakestilling av passord sendt. Å åpne nettleserens dev-verktøy, et enkelt tastetrykk i Chrome, tok imidlertid opp det interne Grindr-tilbakestillingstokenet, akkurat der, i sidens kode.

Å ha brukerens e-postadresse kombinert med token for tilbakestilling av passord var nok til å gi dårlige aktører tilgang til selve passordforespørselen som er koblet i e-posten som sendes av tjenesten. Fra dette punktet er det å spille passord og overta kontoen.

Når du logger på den hackede kontoen ved hjelp av det nyopprettede passordet, ble det vist en popup som ba brukeren bekrefte påloggingen via mobilappen. Hvis du tror dette er to-faktor bekreftelse knyttet til telefonnummeret ditt, er det ikke det. Sikkerhetsforsker Troy Hunt, som gjennomførte dette lille eksperimentet på hvit hattemote og avslørte sårbarheten med hjelp fra et par av kollegene, logget seg ganske enkelt inn på den nykaprede kontoen fra sin egen mobil ved hjelp av det nylig endrede passordet og e-posten. adresse og det var det - kontoen var hans å gjøre som han ville.

Hunt uttalte faktisk at sårbarheten var blant "de mest grunnleggende teknologiene for overtakelse av kontoer" han noen gang hadde kommet over i løpet av sine mange år. Heldigvis, etter noen innledende hindringer med å kontakte Grindr-representanter på Twitter og skape litt opprør med en offentlig tweet om sårbarheten, klarte Hunt å komme i kontakt med plattformens sikkerhetsteam. Sårbarheten har siden blitt løst av Grindrs utviklere.

Grindr går inn med en løsning

Grindr-representanter uttalte at problemet ble oppdaget og lappet ut før noen dårlige skuespillere klarte å misbruke det. Den sosiale plattformen kunngjorde videre sine planer om å lansere et nytt bugjaktprogramvare i overskuelig fremtid.

Denne hendelsen viser at noen ganger, uansett hvor sikkert passordet ditt er, og uansett hvor investert du er i din personlige cybersikkerhet, er skjebnen til informasjonen og kontoene dine noen ganger ikke i dine hender, og du kan ikke gjøre noe med en angrepvektor som den som ble oppdaget med Grindrs sårbarhet.

Dette betyr selvfølgelig ikke at du skal være forsømmelig eller uforsiktig. I lignende angrep som ikke involverer brukeren på noen måte, er det best å bruke en plattforms tofaktorautentisering og sikre kontoen din med den så snart den blir tilgjengelig, hvis den ikke allerede er.